W 2017 roku analizowałem prywatność czujników światła otoczenia. Dalsze badania wykazały, iż za pośrednictwem czujnika światła jest możliwe wykradanie prywatnych danych użytkowników. To ryzyko podważało standard bezpieczeństwa i prywatności web (single-origin policy). Moja praca doprowadziła do szerszych wniosków o projektowaniu technologii z myślą o prywatności.
Teraz praca opublikowana w piśmie naukowym Science potwierdzają moje prace. W artykule szczegółowo zbadano wpływ czujnika światła na prywatność. Naukowcy zademonstrowali rejestrację obrazów otoczenia przed ekranem dzięki czujników. Pokazano, w jaki sposób czujnik światła otoczenia pozwala na rekonstrukcję obrazów otaczających miejsc, w tym twarzy użytkowników (nawet jeżeli mają one niską rozdzielczość lub są bardzo rozmazane). Dlaczego to problem? Bo mechanizm ten nie wykorzystuje aparatu/kamery telefona, w tym przypadku wrażliwość jest oczywista.
Ograniczenia prywatności
Zasadniczą wartością tej pracy jest ustalenie wyraźnych ograniczeń parametrów, takich jak: częstotliwość i natężenie oświetlenia, gdy możliwe jest nadużycie. Prace badawcze wykazały, iż pozyskiwanie obrazu o niskiej rozdzielczości (10–20 Hz…) wymagało kilku minut na zrekonstruowanie obrazu o wymiarach 32x32 piksele. To zbyt długo, aby miało to praktyczne znaczenie, ale przez cały czas nie można wykluczyć ataków dostosowanych do indywidualnych celów. Ocena nakłada ograniczenia na gromadzenie informacji. jeżeli czujnik światła otoczenia zostanie zredukowany (kwantyzacja) do 4 bitów (0–15 luksów), rekonstruowane dane staną się niemożliwe (trudne) do odczytania. Mimo to niektóre urządzenia, takie jak telewizory Smart TV lub tablety dziś znajdują się w strefie niebezpiecznej.
Doceniam tę zagadkę prywatności i bezpieczeństwa ponieważ wybór progów prywatności dla czujnika światła W3C to praca, z którą borykaliśmy się gdy badaliśmy temat. Wykonano podobne pomiary.
Prywatność już w fazie projektowania i RODO na najwyższym poziomie
Takie rozważania mają wartość dla przyszłego rozwoju technologii (sprzętu, oprogramowania). Mowa tu bowiem o progach, których nie należy przekraczać bo w przeciwnym razie nadużycia mogą stać się zbyt ryzykowne. Praca ta służy zatem jako najważniejszy punkt odniesienia dla wszelkich ocen wpływu na prywatność, biorąc pod uwagę zasadę ochrony danych osobowych RODO od samego początku projektu (data protection by design). Teraz w pewnym sensie projektanci telefonów, smart-zegarków i innych tego typu produktów muszą wziąć pod uwagę to i wcześniejsze prace. Tylko w ten sposób wypełnią zapisy współczesnych przepisów takich jak RODO. Projektantom i analytikom prywatności nie wolno ignorować aktualnego stanu wiedzy. o ile by to zignorowali, organy ochrony danych mają uzasadnione powody do działania, nałożenia kara pieniężnych lub choćby zakazów przetwarzania danych w odpowiedzi na oczywistą nieznajomość aktualnego stanu wiedzy. Jest to obszar uregulowany prawnie.
Wpływ analizy prywatności czujnika światła otoczenia
W odpowiedzi na moje prace, dostęp do czujnika światła jest teraz chroniony dzięki mechanizmu technicznego zgody przeglądarki.
Prywatność rzalecenia
Rzeczony artykuł ponownie powtarza wcześniej ustalone przeze mnie zalecenia (moja publikacja jest cytowana w tej publikacji) to, co wiemy i co już wdrożono/określono: From the software side, the imaging threats that we have revealed suggest two mitigation strategies: tighten permission controls and reduce the information output by the sensor. Restricting access to the screen is probably not realistic, but the lack of permission to access the ambient light sensor may need to be rethought. Second, the precision and speed of the ambient light sensor should be reduced in its application programming interface … Accordingly, we propose quantizing the sensor output more (e.g., at a step of 10 lux), reducing speed (e.g., 1 to 5 Hz)”.
Tak się składa, iż z W3C Ambient Light Sensor API zrobiliśmy to już lata temu.
Słowa końcowe
Wspomniana praca potwierdza moje wcześniejsze prace i badania oraz moje zalecenia przedstawione podczas analizy prywatności. Te funkcje są w tej chwili dostępne w Twojej przeglądarce internetowej.
To tak na marginesie, to jest to kolejna praca naukowa potwierdzająca moje wcześniejsze badania. Fajne uczucie.